Mi servicio está viendo un ataque bastante sofisticado que se distribuye en múltiples direcciones IP. Tengo una lista de direcciones IP 'rogue'. Se distribuyen en todo el mundo. ¿Hay alguna manera de averiguar si hay un botnet / servicio de alquiler que está enviando estos ataques?
Entonces, al usar los registros que has recopilado, puedes identificar qué IP estaban enviando estos ataques, ¿no? Así que supongo que hay dos posibilidades:
1) Estas IP son parte de una red de bots, en cuyo caso solo puede identificar qué nevera / tostadora / tv (eliminar donde corresponda) le está enviando el desbordamiento de paquetes. No puede hacer mucho si este es el caso porque presumiblemente podría haber cientos de estos; es un desperdicio de recursos informar a cientos de familias que sus lavadoras inteligentes han sido esclavizadas en una red de bots y cómo escapar de la red. No podrá rastrear la IP del organizador a través de uno de los robots.
2) Los propios piratas informáticos están enviando los paquetes; sin embargo, dudo que encuentres sus IP porque estarían ocultos detrás de algo como una VPN o usando las direcciones IP no utilizadas de su ISP. De cualquier manera, tendría que obtener una orden judicial para identificar quién usó los servicios.
Pero a pesar de estas probabilidades, encontró la (s) dirección (es) IP real (es) del hacker. Entonces, ¿qué haces ahora?
Bueno, personalmente no podría hacer nada más que informar las direcciones IP ofensivas a su autoridad local o tal vez a su ISP. Sé que el FBI tiene un formulario que puede llenar para el delito cibernético, aunque puede que no sea de los Estados Unidos, lo siento. Aún así, es posible que a su autoridad local no le importe realmente, a menos que el ataque haya causado daños financieros graves o sea parte de una amenaza más generalizada. Recuerde enviar registros detallados de todo lo que sepa sobre el ataque si recorre la ruta de informe.
Otra gran cosa que hacer sería prepararse. Obtenga personal capacitado y técnicos de emergencia, etc., que pueden ayudar a que los servicios se realicen lo más rápido posible. También busque obtener una mejor infraestructura y software que pueda manejar bien los ataques DDoS hasta cierto punto.
FUENTES: